CVE-2024-1086脆弱性：ランサムウェア攻撃で悪用されたLinuxカーネルの重大な権限昇格の欠陥

WSUSシステムにおける重大なRCE脆弱性である CVE-2025-59287が野外で悪用されているとの報告があった直後、新たに高深刻度のLinuxカーネルの脆弱性が ランサムウェア 攻撃で積極的に武器化されていることが観察されています。CISAはその悪用を確認し、攻撃的キャンペーンでCVE-2024-1086を悪用することで、ローカルアクセスを持つ攻撃者が影響を受けるシステムでルート権限を得ることができると警告しました。

3年連続で、悪用された脆弱性がランサムウェア攻撃の最も一般的な技術的根本原因として残っており、ランサムウェア2025の状況報告によると、事件の32%が関与しています。 報告書 Sophosによる。ランサムウェアグループは、ソフトウェアの欠陥をエンタープライズシステムへの主要なエントリーポイントとしてますます活用しており、ソーシャルエンジニアリングや盗まれた認証情報が攻撃に大きな役割を果たし続けています。NISTによって 今年登録された40,000 以上の新しい脆弱性により、組織は攻撃面を減らし、ますます巧妙なランサムウェアの脅威から守るために、これらの欠陥を積極的に特定して修正することが重要です。今年、組織はますます増大する挑戦に直面しています。

SOC Primeプラットフォームにサインアップして、世界的なアクティブ脅威フィードにアクセスし、新たな脅威に対抗するためのリアルタイムのサイバー脅威インテリジェンスとキュレーションされた検出アルゴリズムを提供します。すべてのルールは複数のSIEM、EDR、Data Lakeフォーマットに対応し MITRE ATT&CK® MITRE ATT&CK® フレームワークにマッピングされています。さらに、各ルールには CTI リンク、攻撃タイムライン、監査構成、トリアージ推奨事項、その他の関連コンテキストが付加されています。「 検出を探索 」ボタンを押すことで、「CVE」タグでフィルタされた重大な脆弱性を防ぐためのプロアクティブな防御のための完全な検出スタックを見ることができます。

検出を探索

さらに、サイバー防御者は、ランサムウェア攻撃に対抗するためのキュレーションされた検出スタックでディフェンスを強化することができます。Threat Detection Marketplaceで「ランサムウェア」タグを使用して関連する検出コンテンツを検索します。

セキュリティエンジニアは Uncoder AI、検出エンジニアリングのためのIDEおよびコーパイロットを活用することもできます。Uncoderを使用することで、防御者はIOCを即座にカスタムハンティングクエリに変換し、生の脅威レポートから検出コードを作成し、Attack Flowダイアグラムを生成し、ATT&CKタグの予測を有効にし、AI駆動のクエリ最適化を利用し、複数のプラットフォーム間で検出コンテンツを翻訳することができます。

CVE-2024-1086の分析

CISAは最近 CVE-2024-1086と識別されたLinuxカーネルの重大な脆弱性について緊急警告を発表しました。この重大なuse-after-freeバグ（CVSSスコア7.8点）は、 netfilter: nf_tables コンポーネント内に隠されており、ローカルアクセスを持つ敵対者が影響を受けるシステムでルート権限を得てランサムウェアを展開する可能性を持ち、企業システムを世界的に深刻な混乱を引き起こしたり、任意のコード実行を引き起こしたりする可能性があります。

この欠陥は2024年1月に開示され修正されましたが、2014年に導入されたコードから発生しました。5月30日には CISAの既知の悪用された脆弱性（KEV）カタログに追加 され、2025年10月下旬にはこの脆弱性がランサムウェアキャンペーンで積極的に使用されていることが確認されています。特に、この欠陥の概念実証（PoC）エクスプロイトは2024年3月から利用可能であり、「Notselwyn」というエイリアスを使用する研究者によって GitHubにCVE-2024-1086 PoCが公開され、Linuxカーネル5.14から6.6までのローカル特権の昇格を示しています。

この脆弱性を悪用することで、攻撃者はセキュリティコントロールを回避し、管理者アクセスを獲得してネットワーク内を横断的に移動します。ルート権限が得られると、ランサムウェアオペレーターはエンドポイント保護を無効化し、重要なファイルを暗号化し、機密データを流出させ、持続的なアクセスを確立できます。

この脆弱性は、通常、フィッシング、盗まれた認証情報、またはインターネットに面した脆弱性を通じて敵対者が初期の足がかりを得た後に悪用され、制限されたユーザーアクセスを完全な管理制御に変えるために使用されます。

CVE-2024-1086を「ランサムウェアキャンペーンで使用されていることが知られている脆弱性」として分類したCISAの判断は、その深刻さと組織がパッチの適用を確認し、Linux環境全体で軽減策を実装する緊急の必要性を強調しています。

CVE-2024-1086の緩和策として、 ベンダーは以下を推奨しています。 特権のないユーザーによる名前空間の作成を無効にすること。これを一時的に無効にするには、「 sudo sysctl -w kernel.unprivileged_userns_clone=0 」を実行することが推奨されており、再起動後に持続的な変更を行うためには、「 echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf 」を実行します。

プロアクティブなサイバー防御戦略を強化することは、組織が脆弱性の脅威を効果的かつ迅速に減少させるのに重要です。「 SOC Primeの完全な製品スイート を利用することで、トップレベルのサイバーセキュリティ専門知識とAIに支えられた企業レベルのセキュリティ保護を確保し、世界的な組織がサイバー防御の未来を保護し、サイバーセキュリティ姿勢を強化することができます。